Die EUDI-Wallet (EUDIW) soll den Bürger:innen der EU ab Ende 2026 zur Verfügung stehen. Als App auf dem Smartphone vereint sie u.a. Identifizierungs- und Nachweisfunktionen, die Autorisierung von Signatur- und Payment-Vorgängen und die qualifizierte elektronische Signatur. Zwei EUDI-Experten sehen in der Wallet eine Chance für Banken und raten ihnen, sich zeitig einzumischen.
Wallet und Payment – jetzt wird es spannend
Vor dem Start sind noch viele Aufgaben zu erledigen. Und obwohl die EUDIW unionsweit funktionieren und gültig sein wird, hat jeder Mitgliedsstaat sein eigenes Umsetzungsprojekt – das ist eine Frage der Souveränität. Deutschland hat sich dafür entschieden, sowohl eine eigene Wallet zu bauen als auch alternative Wallets zuzulassen. Hier wurde die Bundesagentur für Sprunginnovationen (SPRIND) durch das BMI mit der Durchführung des nationalen EUDI-Wallet-Projekts beauftragt. Die „Pflichtaufgaben“ rund um die Bereiche Identifizierung und Nachweise sind schon sehr weit fortgeschritten. Nun arbeiten die Architekten zusammen mit den großen Pilotprojekten (Large Scale Pilots, LSP) am spannenden Thema Payment Authorization. In den Prototypen beschäftigen sie sich mit Use Cases zur SCA (Strong Customer Authorization) aus Sicht der Banken und zur Billing-Authorization über API-Anbindung.
Oliver Lauer, Chief Digital Officer des Deutschen Sparkassen- und Giroverbands, und Dr. Torsten Lodderstedt, Lead Architect des deutschen EUDI-Wallet-Projekts bei SPRIND, zu aktuellen Fragen rund um die EUDI-Wallet aus Bankensicht.
Spätestens ab November 2027 müssen auch Banken die EUDI-Wallet akzeptieren. Was sollten Banken jetzt tun, um sich vorzubereiten?
Oliver Lauer: Man sollte die Anforderungen der Wallet frühzeitig mit den eigenen Entwicklungsprozessen synchronisieren. Dazu ist es wichtig, Erfahrungen zu sammeln und die Entwicklung mitzugestalten über die LSPs und die SPRIND-Aktivitäten. Im neuen LSP APTITUDE, der im Sommer startet, sind unter anderem Banken aus Frankreich, Italien und den Niederlanden dabei. Aus Deutschland machen z. B. die ING, die Sparkassen (über den DSGV) und auch EPI mit. In dem anderen LSP sind Visa, MasterCard und Google vertreten, die auch an SCA arbeiten. Mit der Verlängerung der LSP bis Sommer 2027, also über den geplanten Start der Wallet hinaus, wird es weitere optionale Entwicklungen in diesem Umfeld geben, gerade im Payment-Sektor. Eine Bitte von Torsten und mir lautet: Mitmachen! Entweder bei den LSPs der Europäischen Kommission, bei den Funke-Aktivitäten oder dem entsprechenden EUDI-Wallet-Konsultationsprozess.
Torsten Lodderstedt: Wir stellen unsere EUDI-Wallet-Prototypen für jeden zur Verfügung, der damit experimentieren möchte. Nach Beendigung des Innovationswettbewerbs „EUDI-Wallet Prototypes“ überführen wir das voraussichtlich ab Mitte Oktober in einen Playground, sodass auch andere Parteien für einen längeren Zeitraum ihre Prototypen implementieren können. Auf diese Weise können wir schnell die Machbarkeit und Attraktivität von Features ausprobieren. Das ist der erste Abschnitt auf der Straße zum Ökosystem-Rollout.
Was wird die Wallet den Banken zu bieten haben?
Lodderstedt: Da die Wallet ein Identifizierungs-Werkzeug sein wird, kann man damit auch eine geldwäschekonforme Identifizierung durchführen. Heute werden etwa 50 Prozent solcher Identifizierungen mit Video- und Auto-Ident gemacht. Im Vergleich dazu wird die Wallet fälschungssicherer, datenschutzfreundlicher und einfacher sein.
Lauer: Bei Apple und Google hat man längst verstanden, dass Payment allein für eine Wallet nicht reicht. Kunden suchen die maximale Abkürzung, die bequemste Lösung, und die EUDI-Wallet bietet sie. Warum? Weil Payment hier nicht als solitäre Anwendung funktioniert, sondern im Rahmen einer Transaktion, z.B. bei der Autoleihe Identifizierung plus Zahlung, am Point of Sale die Altersverifizierung plus Zahlung oder beim E-Commerce Lieferadresse plus Zahlung.
Lodderstedt: Ein weiteres Zahlungs-Feature: Es wird auch eine Schnittstelle zwischen Web-Anwendung und Browser geben, sodass die Anwendung (z. B ein Shop) über den Browser mit der Wallet kommunizieren kann. Auf Basis derselben Technologie wird auch der Point of Sale zukünftig mit der Wallet kommunizieren können. So wird man die Wallet dann auch als Zahlungsauslöser im Online- wie im vor-Ort-Fall nutzen können.
Wird die Wallet hinsichtlich Funktionalität z. B. mit ApplePay konkurrieren können?
Lodderstedt: Das ist natürlich unser Ziel, dass Verbraucher hier ein Nutzererlebnis haben, das sie von GooglePay oder ApplePay gewohnt sind. Aber die Wallet wird gegenüber diesen Playern einen entscheidenden Vorteil haben: Es ist derzeit eher unwahrscheinlich, dass Google oder Apple einen deutschen Personalausweis in ihre Wallet integrieren können, ebenso wenig einen französischen Führerschein. Dazu müssten sie sich als EUDI-Wallet-Anbieter zertifizieren und anerkennen lassen. Diese Kombination macht die Wallet aus. Und das auf eine technologisch einfache und interoperable Art und Weise.
Lauer: Und darin steckt eine große Chance für die Banken, die ihren Kunden mit der Wallet etwas wirklich Besseres bieten können. Payment ist der tagesrelevanteste Use Case der Wallet, die Zahlungsfunktion wird maßgeblich über die Akzeptanz der Wallet entscheiden. Das entsprechende Potenzial wird europaweit auf 3 Billionen Euro jährlich taxiert. Ich bin überzeugt, dass die Wallet so etwas wie der Marschallplan für Digitalisierung in Europa werden kann.
Was wird die Minimal-Anforderung für Banken sein?
Lauer: Sie müssen die Wallet neben ihrer eigenen Authentifizierungs-Anwendung – z.B. Push-TAN – als SCA akzeptieren. Das wird verpflichtend sein, deshalb führt für Banken kein Weg an der Wallet vorbei.
Schon jetzt wird die Frage nach der Sicherheit immer wieder thematisiert. Übernimmt ein potenzieller Hacker nicht gleich meine gesamte Identität, sodass ich nicht mehr beweisen kann, wer ich bin?
Lodderstedt: Ganz klar nein. Selbst wenn es einem Angreifer gelingt, in ein Gerät einzudringen, bedeutet das nicht, dass er automatisch die Kontrolle über die digitale Identität übernimmt. Denn: Ohne physischen Zugriff auf die benötigte Hardware sowie die passende PIN kann sich niemand als die betroffene Person ausgeben. Persönliche Daten könnten theoretisch entwendet werden, falls ein Angreifer Schutzmechanismen wie App-Isolation oder Verschlüsselung überwindet – doch das allein reicht nicht aus. Um tatsächlich in fremdem Namen handeln zu können, braucht es den Zugang zum sogenannten Hardware-Sicherheitsanker. Im aktuellen Design der staatlichen deutschen Wallet ist dieser Schutz doppelt gesichert – durch ein Cloud-Hochsicherheitsmodul in Kombination mit einem Sicherheitselement auf dem Smartphone sowie einer PIN. Ohne all diese Faktoren bleibt der Identitätsdiebstahl praktisch ausgeschlossen.
Was Sie noch interessieren könnte?
Die EUDI-Wallet kommt. Und was haben die Banken davon?
Zu den Personen
 | Oliver Lauer |
 | Dr.-Ing. Torsten Lodderstedt Copyright: Felix Adler / SPRIND GmbH |